技術的な説明
Check Point Research は 2026 年 6 月 11 日に LangGraph における重大な 2 段階の脆弱性チェーンを開示しました。CVE-2025-67644 は SQLite チェックポインター (langgraph-checkpoint-sqlite) における SQL インジェクションであり、チェックポイントに保存されているエージェント メモリの操作を可能にします。CVE-2026-28277 は安全でない msgpack デシリアライゼーション の欠陥であり、SQL インジェクションとチェーンされた場合、LangGraph エージェントをホストしているサーバー上での完全なリモート コード実行を可能にします。侵害されたエージェントは LLM API キー、会話履歴、接続されたエンタープライズ データ、および内部ネットワーク アクセスを露出させます。
攻撃経路
エージェント状態に影響を与える能力を持つ攻撃者 (例: 事前のプロンプト インジェクションを通じて、またはエージェントが読む内容を制御することにより) は、細工された SQL ペイロードをチェックポインターに埋め込むことができます。このペイロードの SQLite デシリアライゼーションは msgpack チェーンをトリガーし、ホスト上で RCE を達成します。Redis チェックポインターも影響を受ける可能性があります。
影響を受けるシステム
LangGraph バージョン 1.0.10 未満 (langgraph パッケージ) および langgraph-checkpoint-sqlite バージョン 3.0.1 未満。LangGraph は LangChain チームによって作成されたエンタープライズ標準のステートフルエージェント フレームワークであり、本番環境のエージェント システムで広く導入されています。
緩和策
langgraph-checkpoint-sqlite ≥3.0.1 および langgraph ≥1.0.10 に直ちにアップグレードしてください。パッチが適用されるまで、SQLite/Redis チェックポインターを使用するエージェントによる外部コンテンツの取り込みを制限し、すべてのエージェント メモリ書き込みに入力サニタイゼーションを実装し、保存されたチェックポイントを改ざんの兆候について監査してください。